[AD] Password Sync

De volgende gebeurtenissen worden accuut overal heen gerepliceerd.

Replicating a newly locked-out account
Changing an LSA secret
RID Manager state changes


De volgende gebeurtenissen worden niet accuut overal heen gerepliceerd.

Changing the account lockout policy
Changing the domain password policy
Changing the password on a machine account
Inter-domain trust passwords (trusts between domain A and B )

Oftewel het wijzigen van een wachtwoord wordt niet overal direct naar toe gestuurd. Het ligt er overigens aan of de servers in dezelfde site zitten. In dit geval duurt het 5 minuten voordat de wijzigingen gerepliceerd wordt.

Inter-site replicatie kan via "Sites and services" afgedwongen worden. Selecteer de server waar je naar toe wilt repliceren, selecteer de NTDS-settings en kies de juiste replicatei-link. Rechtermuisknop en kies "Replicate now".

Overigens is via de site-links de replicatie-tijd in te stellen (minimaal 15 minuten).

[ Voor 4% gewijzigd door Question Mark op 11-02-2004 12:21 ]

Besef wel dat het wachtwoord van een reeds ingelogde gebruiker wanneer een machine gelocked is (dus het wachtwoord om de machine te unlocken) altijd het oude wachtwoord blijft. Zelfs na een maand.

musiman2 schreef op 12 februari 2004 @ 19:48:
Oh ja, en is het een grote moeite om het user object te deleten en een nieuwe te maken? = wellicht een quickfix.

Dat zou ik maar niet doen, dan ben je alle permissies/rechten e.d. kwijt, moet je in geval van Exchange ook weer heea instellen enzovoort. Nooit ff snel een bestaande gebruiker verwijderen om hem meteen weer aan te maken.

Maarten, you're right, maar daarom zei ik ook: als het geen grote moeite is. Moet hij zelf bepalen

Voldoet je wachtwoord aan Password requirements die in policies is aangegeven.

als je in sites / domains kijkt kun je daar replication forceren.

BasXcore schreef op 11 februari 2004 @ 14:07:
[...]w2k + sp4 + NW4.9sp1 client

Hoe stel jij vast dat die wachtwoordwijziging nog niet gerepliceerd is?
Kan het niet zijn dat je via de Netware client inlogt, die zich helemaal niets van het AD password aantrekt?
Volgens Account Unlocks and Manual Password Expirations Are Not Replicated Urgently worden password resets binnen een site wel degelijk urgently gerepliceerd (als je minimaal Service Pack 3 hebt toegepast).
Nou schijn jij niet te willen vertellen of je twee DC's in dezelfde of in verschillende sites leven, maar een stukje info over hoe je site replication geregeld is gaat vast wel helpen.

musiman2 schreef op 12 februari 2004 @ 19:44:
Uhhhh...

Volgens mijn gegevens (die van Microsoft) wordt de wachtwoord wijziging direct gerepliceerd.

Niet helemaal waar, is afhankelijk van het OS van de client. Ervan uitgaande dat het Active Directory aware clients zijn:

Het wachtwoord wordt gewijzigd op de dichtsbijzijnde Domain Controller. Deze repliceert de wijziging op zijn beurt direct met de PDC Emulator. Logt de gebruiker nu aan op een werkplek, die authenticatie doet met een DC die nog niet op de hoogte is van het gewijzigde wachtwoord. Dit mislukt in eerste instantie (deze DC heeft het oude ww nog). Als failback mechanische zal deze DC de PDC Emulator raadplegen die WEL op de hoogte is van het gewijzigde wachtwoord. En dus lukt het aanloggen alsnog.

Voor niet Active Directory aware clients, zoals W9x, wordt de password-change uitgevoerd op de PDC-emulator. Lukt het aanloggen op een andere DC niet, dan contact deze weer de PDC-emulator enz...

Voor wat betreft Inter-site repliclatie heb je volkomen gelijk, replicatie gebeurt inderdaad met 3 hops... Maar volgens het artikel van Brahiewahiewa gebeurt het voor password-changes direct. Kennelijk heeft MS dit met de komst van SP3 aangepast.

't Is alweer een tijd geleden dat hier boeken over gelezen heb

[ Voor 6% gewijzigd door Question Mark op 14-02-2004 11:48 ]